Contenido
Introduccin RouterOS Protocolos Internet Interfaces Tunneling Firewall Enrutamiento Utilidades del Sistema
RouterOS
Soporta
Firewall and NAT Routing Data Rate Management HotSpot Point-to-Point tunneling Simple tunnels IPsec Web proxy
RouterOS
Caching, DNS client DHCP, Universal Client VRRP - Virtual Router Redundancy Protocol UPnP NTP Monitoring/Accounting SNMP MNDP y CDP
telnet; SSH; packet sniffer
Terminal de Consola
Permite acceder al enrutador en terminales tipo texto. Estructura de shell similar a Unix. Comandos Organizados en niveles de men jerrquicos. Estructura de directorios (/ indica la raiz o base, .. Indica el nivel posterior)
Universidad Mayor de San Simn
Terminal de Consola
/ / ..
IP SYSTEM
...
.. ...
ADDRESS
ROUTE
...
...
Comandos en RouterOS
Parmetro print da informacin acerca listas del comando
valor de la lista, Nmero [admin@MikroTik] > interface print identificador Flags: X - disabled, D - dynamic, R - running # NAME TYPE RX-RATE TX-RATE MTU 0 R Public 1 R Local ether 0 0 1500 ether 0 0 1500
Comandos en RouterOS
Opciones de borrado, insercin o modificacin requieren el Nmero Identificador Se puede acceder a los valores mediante el nombre
[admin@MikroTik] interface> set 0 mtu=1200 [admin@MikroTik] interface> set Local mtu=1300 [admin@MikroTik] interface> print Flags: X - disabled, D - dynamic, R - running # NAME TYPE RX-RATE TX-RATE MTU 0 R Public ether 0 0 1200 1 R Local ether 0 0 1300
Comandos Generales
Se pueden agrupar items con el smbolo ,
set 0,1,2 mtu=1200
Comandos Generales
Print: Muestra informacin accesible de algn comando. Set: Permite modificar informacin de un comando. Add: Permite aadir un nuevo item. Remove: Elimina un item de la lista. Move: Cambia el orden en la lista de items.
Universidad Mayor de San Simn
Comandos Generales
[admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # 0 DST-ADDRESS S 0.0.0.0/0 G GATEWAY r 192.168.2.1 r 0.0.0.0 DISTANCE INTERFACE 1 0 ether2 ether2
1 DC 192.168.2.0/24
[admin@MikroTik] ip route> add dst-address=192.168.1.0/24 [admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # 0 DST-ADDRESS S 0.0.0.0/0 G GATEWAY r 192.168.2.1 DISTANCE INTERFACE 1 1 r 0.0.0.0 0 ether2 ether2
1 IS 192.168.1.0/24 2 DC 192.168.2.0/24
Comandos Generales
[admin@MikroTik] ip route> set 1 gateway=192.168.2.1 [admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # 0 1 DST-ADDRESS S 0.0.0.0/0 S 192.168.1.0/24 G GATEWAY r 192.168.2.1 r 192.168.2.1 r 0.0.0.0 DISTANCE INTERFACE 1 1 0 ether2 ether2 ether2
2 DC 192.168.2.0/24
[admin@MikroTik] ip route> remove 1 [admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # 0 DST-ADDRESS S 0.0.0.0/0 G GATEWAY r 192.168.2.1 r 0.0.0.0 DISTANCE INTERFACE 1 0 ether2 ether2
2 DC 192.168.2.0/24
Protocolos y Servicios
Servicios Bsicos
Telnet: Servicio de Telnet, acceso al servidor FTP: Acceso FTP al servidor WWW: Servicio de WEB (necesario para el Winbox)
[admin@MikroTik] > ip service [admin@MikroTik] ip service> print Flags: X - disabled, I - invalid # 0 1 2 NAME telnet ftp www PORT 23 21 80 ADDRESS 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 CERTIFICATE
Protocolos y Servicios
Los servicios slo pueden ser habilitados o deshabilitados Forman parte de algn paquete. Se pueden habilitar servicios para redes o ips especficos [admin@MikroTik] ip service> set 1 disabled=yes
[admin@MikroTik] ip service> set 0 address=192.168.2.0/24 Flags: X - disabled, I - invalid # 0 1 2 NAME telnet X ftp www PORT 23 21 80 ADDRESS 192.168.2.0/24 0.0.0.0/0 0.0.0.0/0 CERTIFICATE
Protocolos y Servicios
Se pueden manejar:
IP EoIP VLAN PPPoE PPTP IPIP L2TP Prefix List IPSEC SNMP VRRP ARP OSPF RIP BGP UPnP
DHCP
Se pueden manejar Cliente y Servidor DHCP. Cliente DHCP se asigna a una interface
[admin@MikroTik] ip dhcp-client> set enabled=yes interface=ether1 [admin@MikroTik] ip dhcp-client> print enabled: yes interface: ether1 host-name: "" client-id: "" add-default-route: yes use-peer-dns: yes
DHCP
DHCP
Utilice renew para re-enlazar el IP. Si la operacin no es exitosa se intenta enlazar automaticamente.
DHCP Server
Puede trabajar como servidor DHCP Se requiere configurar gateway, dns (primario, secundario), servidor WINS, pool de direcciones IP Se activa con /ip dhcp-server
DHCP Server
Se puede habilitar DHCP server por cada interfaz. Habiltar el DHCP una vez creada.
[admin@MikroTik] ip dhcp-server> add name=oficina \ \... address-pool=clientes interface=ether1 lease-time=2h [admin@MikroTik] ip dhcp-server> enable oficina [admin@MikroTik] ip dhcp-server> print Flags: X - disabled, I - invalid # NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP clientes 2h no
0 oficina ether1
[admin@MikroTik] ip dhcp-server>
Universidad Mayor de San Simn
DHCP Server
DHCP Server
Pool de direcciones IP
Se puede utilizar rangos, o valores sencillos agrupados por comas Para ver los valores usados del pool de Ips utilizar used print
[admin@MikroTik] ip pool> add name=clientes \ \... ranges=192.168.1.32-192.168.1.64 [admin@MikroTik] ip pool> print # NAME RANGES
DHCP Server
0 relay ether1
IP y ARP
Nivel de identificacin en la red mediante TCP/IP Se pueden asignar mltiples IP a una interface. Si se usa Bridge una niterfaz puedo no tener direccin IP.
IP y ARP
No se pueden tener asignados Ips del mismo segmento de red en las interfaces
Universidad Mayor de San Simn
IP y ARP
IP y ARP
ARP
Protocolo de Resolucin de Direcciones Permite mapear el nivel 3 de OSI (direcciones IP) con el nivel 2 (direccin MAC)
El router maneja la table de direcciones ARP. Tabla dinmica, mas para seguridad se puede manejar estticamente. Se usa con /ip arp
Universidad Mayor de San Simn
IP y ARP
[admin@MikroTik] ip arp> add address=10.10.10.1 interface=ether2 macaddress=06 \ \... :21:00:56:00:12 [admin@MikroTik] ip arp> print Flags: X - disabled, I - invalid, H - DHCP, D - dynamic # ADDRESS 0 D 2.2.2.2 MAC-ADDRESS INTERFACE
00:30:4F:1B:B3:D9 ether2
[admin@MikroTik] ip arp>
IP y ARP
0 D 10.5.7.242 1 10.10.10.10
IP y ARP
Con arp=disabled los clientes tambin deben tener arp esttico asociado Con arp=reply-only slo se responden a mapeos estticos. Si se quiere que todas las solicitudes sean respondidas con el MAC del router usar arp=proxy-arp
Universidad Mayor de San Simn
Enrutamiento
Enrutamiento
192.168.0.0/16 r 0.0.0.0/0 r r
2 DC 10.10.10.0/24
Enrutamiento
Balanceo de carga
[admin@MikroTik] ip route> set 0 gateway=10.10.10.2,10.10.10.254 [admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # 0 S DST-ADDRESS 192.168.0.0/16 G r r 1 S 0.0.0.0/0 r r GATEWAY 10.10.10.2 10.10.10.254 10.10.10.1 0.0.0.0 1 0 DISTANCE 1 INTERFACE Local Local Public Public
2 DC 10.10.10.0/24
Enrutamiento
Tablas de Rutas, permiten seleccionar rutas para variar el uso de la red. Manejo de mltiples tablas y reglas de cmo manejar las tablas Se pueden manejar direccin destino y fuente.
Enrutamiento
/ip policy-routing permite agrupar las rutas en grupos Se pueden agregar nuevas tablas de rutas
[admin@MikroTik] ip policy-routing> add name=mt [admin@MikroTik] ip policy-routing> print Flags: D - dynamic # 0 NAME mt
1 D main
Enrutamiento
Enrutamiento
Polticas de Enrutamiento
[admin@MikroTik] ip policy-routing rule> add src-address=10.0.0.144/32 \ \... table=mt action=lookup [admin@MikroTik] ip policy-routing rule> print Flags: X - disabled, I - invalid # SRC-ADDRESS 0 0.0.0.0/0 1 10.0.0.144/32 DST-ADDRESS INTE... FLOW ACTION TABLE 0.0.0.0/0 0.0.0.0/0 all all lookup main lookup mt
Enrutamiento
Web Proxy
Se pueden usar:
Proxy HTTP regular Proxy Transparente. Listas de Acceso por fuente, destino, URL y mtodos de consulta Cache access list (indica que objetos almacenar y cuales no) Direct Access List (Recurosos que puedes accederse directamente y cuales con otro proxy) Facilidad de Autentificacin
Universidad Mayor de San Simn
Web Proxy
Web Proxy
Web Proxy
Listas de acceso
Las reglas se utilizan de arriba hacia abajo. Se pueden manejar accesos mediante direccin destino, fuente, puerto, subcadena URL. Se usa mediante /ip web-proxy access
Web Proxy
Web Proxy
Web Proxy
Manejar directamente las conexiones al servidor 167.157.4.1 y las conexiones seguras redirigirlas al proxy principal
[admin@MikroTik] ip web-proxy direct> add dst-address=167.157.4.1/32 action=allow [admin@MikroTik] ip web-proxy direct> add url=https://" action=deny
Web Proxy
Web Proxy
Web Proxy
Reconstruyendo el Cache
Si existen problemas con el cache el sistema intentar reparar la estructura de directorios. Si no fuese posible se debe borrar y recrear la estructura.
Web Proxy
Web Proxy
Proxy Transparente
Solo se puede manejar el protocolo HTTP de forma transparente. Se debe usar una regla de NAT de destino. Especificar que conexiones (puertos) deben de ser transparentemente redirigidos
Web Proxy
Ancho de Banda
Mikrotik soporta:
PFIFO - Packets First-In First-Out BFIFO - Bytes First-In First-Out SFQ - Stochastic Fair Queuing RED - Random Early Detection HTB - Hierarchical Token Bucket PCQ - Per Connection Queue
Universidad Mayor de San Simn
Ancho de Banda Se pueden usar las colas para limitar el ancho de banda de direcciones IP, protocolos o puertos. Se configuran generalmente en interfaces de salida. Se pueden manejar paquetes de entrada (global-in) o de salida (globalout)
Universidad Mayor de San Simn
Ancho de Banda
Ancho de Banda
Controles especiales de ancho de banda por puerto, protocolo, rangos de IP, etc. Usar Arboles de Colas. Manejar con /queue tree
Ancho de Banda
[admin@MikroTik] queue tree> add name=HTTP parent=ether1 flow=http1 \ max-limit=128000 [admin@MikroTik] queue tree> print Flags: X - disabled, I - invalid, D - dynamic 0 name="HTTP" parent=ether1 flow=http1 limit-at=0 queue=default priority=8 max-limit=128000 burst-limit=0 burst-threshold=0 burst-time=0 [admin@MikroTik] queue tree>
Ancho de Banda
[admin@MikroTik] ip firewall mangle> add action=passthrough mark-flow=http1 \ \... protocol=tcp target-port=80 [admin@MikroTik] ip firewall mangle> print Flags: X - disabled, I - invalid, D - dynamic 0 target-address=:80 protocol=tcp action=passthrough mark-flow=http1 [admin@MikroTik] ip firewall mangle>
Ancho de Banda
Ancho de Banda
Interfaces
Interfaces
[admin@MikroTik] interface> print Flags: X - disabled, D - dynamic, R - running # MTU NAME TYPE ether ether ether ether ether RX-RATE 0 0 0 0 0 TX-RATE 0 0 0 0 0
0 R ADSL-2 1500 1 R TX 1500 2 R SETBOL 1500 3 R Supernet 1500 4 R ADSL-1 Universidad Mayor de San Simn 1500
Interfaces
Interfaces Ethernet
Se maneja la informacin de las interfaces tipo Ethernet. Usar /interface ethernet Se puede monitorear el estadao de las interfaces con:
/inteface ethernet monitor
Interfaces Wireless Opera usando IEEE 802.11 Se puede configurar como clientes wireless (station), bridge wireless (bridge) y como puntos de acceso (apbridge). El control de posicionamiento puede ser manejado. Soporta 802.11a, 802.11b y 802.11g
Universidad Mayor de San Simn
Interfaces Wireless
Maneja el protocolo Nstrem (propietario de Mikrotik) Beneficios del protocolo nstreme:
Client polling Poca sobrecarga del protocolo, premitiendo transmisiones altas. Sin limites de protocolo en grandes distancias No existe degradacion para grandes distancias Ajustes dinmicos dependiendo del tipo de trfico y los recursos usados
Universidad Mayor de San Simn
Interfaces Wireless
Se puede usar:
Conexiones Punto a Punto: Con antenas en ambos lados Punto a Punto Dual (Nstreme2): Se pueden usar 2 radios en ambos lados simultaneamente, uno para transmisin y otro para recepcin. Punto Multipunto.
Universidad Mayor de San Simn
Interfaces Wireless
Se maneja mediante /interface wireless Manjear mnimamente el ssid (Service Set Identifier), la frecuencia y la nada de operacin.
Interfaces Wireless
Mostrar informacin
[admin@MikroTik] interface wireless> print Flags: X - disabled, R - running 0 R name="WLAN" mtu=1500 mac-address=00:01:24:70:4B:BF arp=proxy-arp disable-running-check=no interface-type=Atheros AR5211 mode=ap-bridge ssid="umss" frequency=5805 band=5GHz scan-list=default-ism supported-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps supported-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps basic-rates-b=1Mbps basic-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps max-station-count=2007 ack-timeout=dynamic tx-power=20 802.1x-mode=none noise-floor-threshold=default burst-time=disabled fast-frames=no dfs-mode=none antenna-mode=ant-a wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no default-authentication=yes default-forwarding=yes hide-ssid=no
Interfaces Wireless
[admin@MikroTik] interface wireless registration-table> print stats 0 interface=WLAN mac-address=00:01:24:70:4B:AB ap=no rx-rate=24Mbps tx-rate=24Mbps packets=560115,628954 bytes=79808969,536159406 uptime=1d02:47:31 last-activity=00:00:00 signal-strength=-75 ack-timeout=56 distance=56
Interfaces Wireless
Interfaces Wireless
Interfaces Wireless
Interfaces Wireless
Interfaces Wireless
Datos de alineamiento
[admin@MikroTik] interface wireless align> print frame-size: 300 active-mode: yes receive-all: yes audio-monitor: 00:00:00:00:00:00 filter-mac: 00:00:00:00:00:00 ssid-all: yes frames-per-second: 25 audio-min: -100 audio-max: -20
Interface Wireless
00:01:24:70:4B:BF umss
Interface Wireless
Escaneo de la Red
Se puede verificar que equipos existen en la red. Todos los enlaces se pierden mientras se hace un scan, al igual que con el alineamiento. Si se encuentra enlazado se pierde la conexin mientras se hace el escaneo.
Universidad Mayor de San Simn
Interfaces Wireless
Se muestra la informacin de los equipos Wireless encontrados con las caractersticas mas importantes
[admin@MikroTik] interface wireless> scan WLAN refresh-interval=1s ADDRESS SSID BAND 5GHz FREQ BSS PRIVACY SIGNAL-STRENGTH 5805 yes no -75
00:01:24:70:4B:BF umss
Interfaces Wireless
Interfaces Wireless
192.168.0.1 192.168.0.2
Interface Wireless
MAC Adress del Host Remoto (DOS)
Configurar el AP UNO
\... master-inteface=wlan1 disabled=no [admin@Home] interface wireless wds> print Flags: X - disabled, R - running, D - dynamic
0 name="wds1" mtu=1500 mac-address=00:01:24:70:3A:83 arp=enabled disablerunning-check=no master-inteface=wlan1 wds-address=00:01:24:70:3B:AE [admin@Home] ip address> add address=192.168.25.2/24 interface=wds1 [admin@Home] ip address> print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK BROADCAST INTERFACE
Interface Wireless
Configurar AP DOS
[admin@Home] interface wireless>set wlan1 mode=ap-bridge ssid=wds-test \ \... wds-mode=static disabled=no [admin@Home] interface wireless wds> add wds-address=00:01:24:70:3A:83 \ \... master-inteface=wlan1 disabled=no
[admin@Home] ip address> add address=192.168.25.1/24 interface=wds1 [admin@Home] ip address> print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK BROADCAST INTERFACE
Interface Bridge
Se pueden crear una interface lgica que maneja transparentemente mas de una interface Soporta
STP Firewall en la interfaces bridge Mltiples Interfaces Bridge
Universidad Mayor de San Simn
Interface Bridge
Para poder manejar varias interfaces se debe crear una interface bridge
Usar /interface bridge add
Interface Bridge
Interface Bridge
Tunneling
Tunneling
Tunneling
EoIP
[admin@Our_GW] interface eoip> add name="eoip-remote" tunnel-id=0 \ \... remote-address=10.0.0.2 [admin@Our_GW] interface eoip> enable eoip-remote [admin@Our_GW] interface eoip> print Flags: X - disabled, R - running 0 name=eoip-remote mtu=1500 arp=enabled remote-address=10.0.0.2 tunnel-id=0 [admin@Remote] interface eoip> add name="eoip" tunnel-id=0 \ \... remote-address=10.0.0.1 [admin@Remote] interface eoip> enable eoip-main [admin@Remote] interface eoip> print Flags: X - disabled, R - running 0 name=eoip mtu=1500 arp=enabled remote-address=10.0.0.1 tunnel-id=0
VLAN
Firewall
Firewall
Firewall
Se puede manejar el trfico P2P Marcar paquetes para uso posterior Hacer Nat de destino o Nat fuente.
Manejo de Configuracin
Copias de Respaldo
/system backup
load name=... Permite recuperar la configuracin de un archivo.
Todos los archivos se guardan en el sistema y puede ser bajados via FTP. Se pueden ver los archivos con /file print
Universidad Mayor de San Simn
Manejo de Configuracin
Scripts
Se pueden crear scripts para configurar cierta funcionalidad Usar con /system script Todos los scripts creados pueden ser manejados mediante tareas. Usar /system script job Una ves creadas las tareas se las puede colocar en un calendario
Usar /system scheduler
Universidad Mayor de San Simn